Autor | Zpráva | ||
---|---|---|---|
4li1985 Profil |
#1 · Zasláno: 29. 4. 2014, 21:01:52
Zdravim.
Da sa pomocou .htaccess zakazat uploadovanie PHP suborov na server? Viem, ze sa odporuca osetrit uploadovaci skript a povolit len urcity typ suborov, ale mame na servery niekolko webstranok, ktore vytvorili rozny ludia, vratane roznych CMS a nechcem prechadzat kazdu jednu stranku a vsetky PHP subory a hladat, kde je chyba. Chcem to vyriesit globalne pre cely server ak sa da. Dnes nam niekto napadol server a nahral par PHP suborov a zhodil tym celu stranku. Diky za kazdu radu. |
||
juriad Profil |
Mělo by stačit zakázat interpretovat PHP v adresáři, do kterého se uploadují soubory.
http://stackoverflow.com/questions/1271899/disable-php-in-directory-including-all-sub-directories-with-htaccess Aneb, ať si je klidně uploadují, ale ty zakážeš jejich spuštění. Bacha na to, ať se nepřepíše .htaccess. Zároveň bacha na to, ať nelze includovat z tohoto adresáře (chyby typu: include ($_GET['page'] . '.php') ).
|
||
4li1985 Profil |
juriad:
Diky, ale tuto moznost nemam, kedze na servere bezia rozne webstranky, kazda ma svoj system a svojho programatora, takze chcel by som nastavit globalne pravidlo pre vsetky stranky. Existuje taka moznost? -- Este jedna otazka. Da sa zistit ktory konkretny skript (resp. ktory konkretny PHP subor) bol pouzity pri uploadovani konkretneho suboru na server? V logu vidim len toto: 93.173.163.159 - - [29/Apr/2014:05:17:52 +0200] "POST /temp/index.php HTTP/1.0" 200 - www.domain.com "-" "-" "-" Je to subor nahrany hackerom dnes rano na nas server a chcem zistit ako ho tam dostal a tym padom to osetrit. Diky |
||
juriad Profil |
#4 · Zasláno: 29. 4. 2014, 21:36:17
Hledej v logu tu jeho IP adresu; tak najdeš jaké skripty předtím volal a jeden z nich bude ten uploadovací.
Nic lepšího než zakázání interpretování souborů, jak jsem již psal mě nenapadá. Přece víš, které adresáře to jsou; stačí tedy do nich umístit .htaccess. |
||
Davex Profil |
#5 · Zasláno: 29. 4. 2014, 21:41:41
4li1985:
Můžeš si udělat kontrolní PHP skript a jeho spuštění před každým jiným PHP skriptem zajistíš pomocí konfigurační volby auto_prepend_file .
|
||
Kajman Profil |
#6 · Zasláno: 29. 4. 2014, 22:05:27
Davex:
A v tom kontrolním skriptu ošetřit případné pole $_FILES? |
||
Davex Profil |
Kajman:
Ano. Nejčistší řešení by bylo projít v cyklu pole $_FILES , vymazat nepatřičné dočasné soubory a nastavit chybový kód $_FILES[x]["error"] . Při kontrole by se mělo počítat i s uploadem víc souborů najednou se stejným identifikátorem. Pochopitelně by měl být ošetřen upload všech skriptů, nejenom PHP, ale i souborů .htaccess.
|
||
4li1985 Profil |
#8 · Zasláno: 29. 4. 2014, 22:49:55
Davex:
To by slo. Diky. ;) |
||
Časová prodleva: 11 let
|
0